Hardware für DMZ

[tarrian]

Hallo zusammen!

Demnächst möchte ich mir demnächst eine DMZ aufbauen. Ich glaube das Konzept verstanden zu haben, allerdings finde ich nirgendo Info über die pysische Aufteilung der einzelnen Komponenten.

Ich habe mir als externe Firewall eine Linuxkiste mit IPcop vorgestellt. Läuft dann sonst noch etwas auf diesem Rechner? Kann die interne Firewall (ISA) auf dem LAN-Server liegen (Mit "Kann" meine ich ob es sinnvoll ist)?

Könnt Ihr mir sagen, wie ich die Komponenten

externe Firewall
Web- und FTP-Server
Bastion Host
interne Firewall
LAN-Server

richtig auf pysische Rechner verteile.

Wäre fein, wenn Ihr mir das helfen könnt.

Danke und lg,
Tarrian

[MANX]

Hi!

Erstens DMZ ist nicht gleich DMZ.
Du kannst z.B eine DMZ mit nur einer Linuxkiste (mit drei NICs) realisieren.

Du kannst eine DMZ mit zwei Paketfiltern realisieren.
Du kannst in die DMZ dual-homed Rechner stellen (Proxy z.B) und das Routing komplett abschalten.

Vernünftig wäre vielleicht den IPCOP mit 3 NICs.
eth0 WAN
eth1 DMZ
eth2 LAN

An eth2 direkt den ISA.

Grüße

Manx

[tarrian]

@Manx
Danke für Deine rasche Antwort.

Heisst das, dass der Webserver & Co dann auf der eth1 hängt?
Wie verbinde ich mehrere Webserver zur eth1? Ich habe einen 24er Hub. Kann ich den für alle Rechner verwenden, oder kann es Probleme verursachen, wenn ich den dual-homed Rechner, Webserver und LAN-Server am gleichen Hub anschliesse?
Ich habe auch von der Möglichkeit gehört, Linux + Firewall von Bootdiskette zu starten um so die HDD zu sparen und Hackern einen Ansatzpunkt weniger zu bieten. Weisst Du das etwas drüber?

@Alle Forenleser
Sorry. Ich glaube dass ich das falsche Forum gewählt habe. Nix für ungut

[MANX]

Hi!

ad Grundsätzliches:

Jedes Interface (NIC) bedeutet ein eigenes Subnet.
Klug ist es daher für jedes Subnet einen eigenen Switch zu verwenden (physikalische Trennung).

ad mehrere (Web)server:

auf der Linuxbox => am WAN Interface mehrere Alias-Adressen und diese mit SNAT/DNAT (iptables) ins DMZ durchreichen.

ad Firewall auf CD:

klarer Vorteil von CDROMs => write protected

Grüße

Manx

[tarrian]

Und was hälst Du von einer "fixfertigen" Lösung (Zyxel & Co.) mit 3 NICs ??

Da könnte ich mir doch die Installation und den zusätzlichen Rechner sparen. Oder siehst Du da andere Probleme ?

[MANX]

Hi!

Natürlich immer eine gute Idee.
Meist geringerer Installationsaufwand, Wartungsaufwand, vielleicht "geringfügig" teurer .
Wenn's den Anforderungen gerecht wird, spricht nichts dagegen.

Grüße

Manx

[spunz]

vorteil einer reinen hw lösung:

+einfachere wartung (updates, logs überwachen,... da sollten schon etwas *nix grundkenntnisse vorhanden sein)
+wenig bewegte teile => da kann nicht viel kaputt gehen
+geringere angriffsfläche bei der software


vorteil einer "software" lösung zb mit linux:

+flexibler
+einfacher auszubauen (zuwenig platz im dmz => eine 4port netzwerkkarte rein und fertig)
+günstiger

[tarrian]

Eine Linux-Version würde mich schon reizen, da ich aber eher MS-lastig bin, gefiele mir eine Hardwarelösung ganz gut.

Da habe ich aber noch eine Frage:

Ich hänge die Firewall dann direkt an den ISA dran. Kann der ISA dann am LAN-Server laufen, oder sollte die beiden voneinander getrennt werden?

[spunz]

was machst du mit dem isa dazwischen? warum verwendest du nicht gleich den isa als firewall?

[tarrian]

Ich möchte die Hardwarefirewall als externe FW und den ISA als interne FW verwenden. Dazwischen liegen die Webserver. Nach dem ISA kommt das interne LAN.